pozdravujem! Vitajte pri siedmej lekcii kurzu , na zoznámili sme sa s takými bezpečnostnými profilmi ako Web Filtering, Application Control a HTTPS inšpekcia. V tejto lekcii budeme pokračovať v úvode do bezpečnostných profilov. Najprv sa oboznámime s teoretickými aspektmi fungovania antivírusového systému a systému prevencie narušenia a následne sa pozrieme na to, ako tieto bezpečnostné profily fungujú v praxi.
Začnime s antivírusom. Po prvé, poďme diskutovať o technológiách, ktoré FortiGate používa na detekciu vírusov:
Antivírusová kontrola je najjednoduchší a najrýchlejší spôsob detekcie vírusov. Deteguje vírusy, ktoré sa úplne zhodujú s podpismi obsiahnutými v antivírusovej databáze.
Skenovanie šedej alebo nechcených programov – táto technológia zisťuje nechcené programy, ktoré sú nainštalované bez vedomia alebo súhlasu používateľa. Technicky tieto programy nie sú vírusy. Zvyčajne sa dodávajú spolu s inými programami, ale po inštalácii negatívne ovplyvňujú systém, a preto sú klasifikované ako malvér. Takéto programy sa často dajú zistiť pomocou jednoduchých podpisov šedej z výskumnej základne FortiGuard.
Heuristické skenovanie – táto technológia je založená na pravdepodobnostiach, takže jej použitie môže spôsobiť falošne pozitívne efekty, ale dokáže odhaliť aj zero day vírusy. Vírusy Zero day sú nové vírusy, ktoré ešte neboli preskúmané a neexistujú žiadne podpisy, ktoré by ich mohli odhaliť. Heuristické skenovanie nie je predvolene povolené a musí byť povolené na príkazovom riadku.
Ak sú povolené všetky antivírusové funkcie, FortiGate ich aplikuje v nasledujúcom poradí: antivírusové skenovanie, skenovanie šedého softvéru, heuristické skenovanie.
FortiGate môže používať niekoľko antivírusových databáz v závislosti od úloh:
- Normálna antivírusová databáza (Normal) - obsiahnutá vo všetkých modeloch FortiGate. Zahŕňa podpisy vírusov, ktoré boli objavené v posledných mesiacoch. Ide o najmenšiu antivírusovú databázu, takže pri používaní skenuje najrýchlejšie. Táto databáza však nedokáže odhaliť všetky známe vírusy.
- Extended - túto základňu podporuje väčšina modelov FortiGate. Môže sa použiť na detekciu vírusov, ktoré už nie sú aktívne. Mnohé platformy sú stále zraniteľné voči týmto vírusom. Tiež tieto vírusy môžu spôsobiť problémy v budúcnosti.
- A posledná, extrémna základňa (Extreme) – sa používa v infraštruktúrach, kde sa vyžaduje vysoká úroveň bezpečnosti. S jeho pomocou môžete odhaliť všetky známe vírusy, vrátane vírusov zameraných na zastarané operačné systémy, ktoré v súčasnosti nie sú široko distribuované. Tento typ databázy podpisov tiež nepodporujú všetky modely FortiGate.
K dispozícii je aj kompaktná databáza podpisov určená na rýchle skenovanie. Povieme si o tom trochu neskôr.
Antivírusové databázy môžete aktualizovať rôznymi spôsobmi.
Prvou metódou je Push Update, ktorá umožňuje aktualizovať databázy hneď, ako výskumná databáza FortiGuard vydá aktualizáciu. To je užitočné pre infraštruktúry, ktoré vyžadujú vysokú úroveň zabezpečenia, pretože FortiGate bude dostávať naliehavé aktualizácie hneď, ako budú dostupné.
Druhým spôsobom je nastavenie harmonogramu. Týmto spôsobom môžete kontrolovať aktualizácie každú hodinu, deň alebo týždeň. To znamená, že tu je časový rozsah nastavený podľa vášho uváženia.
Tieto metódy je možné použiť spoločne.
Musíte však mať na pamäti, že ak chcete vykonať aktualizácie, musíte povoliť antivírusový profil aspoň pre jednu politiku brány firewall. V opačnom prípade sa aktualizácie nevykonajú.
Môžete si tiež stiahnuť aktualizácie zo stránky podpory Fortinet a potom ich manuálne nahrať do FortiGate.
Pozrime sa na režimy skenovania. Sú len tri – Full Mode v režime Flow Based, Rýchly režim v Flow Based režime a Full Mode v proxy režime. Začnime s Full Mode v režime Flow.
Povedzme, že používateľ chce stiahnuť súbor. Posiela žiadosť. Server mu začne posielať pakety, ktoré tvoria súbor. Používateľ tieto balíčky okamžite dostane. Pred doručením týchto paketov používateľovi ich však FortiGate uloží do vyrovnávacej pamäte. Keď FortiGate prijme posledný paket, začne skenovať súbor. V tomto čase sa posledný paket zaradí do frontu a neodošle sa používateľovi. Ak súbor neobsahuje vírusy, používateľovi sa odošle najnovší paket. Ak je detekovaný vírus, FortiGate preruší spojenie s používateľom.
Druhý režim skenovania dostupný v režime Flow Based je Rýchly režim. Používa kompaktnú databázu podpisov, ktorá obsahuje menej podpisov ako bežná databáza. V porovnaní s úplným režimom má tiež určité obmedzenia:
- Nemôže odosielať súbory do karantény
- Nemôže použiť heuristickú analýzu
- Tiež nemôže používať balíčky súvisiace s mobilným malvérom
- Niektoré modely základnej úrovne nepodporujú tento režim.
Rýchly režim tiež kontroluje, či v prevádzke nie sú vírusy, červy, trójske kone a malvér, ale bez ukladania do vyrovnávacej pamäte. To poskytuje lepší výkon, no zároveň sa znižuje pravdepodobnosť odhalenia vírusu.
V režime proxy je jediným dostupným režimom skenovania úplný režim. Pri takomto skenovaní si FortiGate najskôr uloží celý súbor na seba (pokiaľ samozrejme nie je prekročená povolená veľkosť súboru na skenovanie). Klient musí počkať na dokončenie skenovania. Ak sa počas kontroly zistí vírus, používateľ bude okamžite upozornený. Pretože FortiGate najprv uloží celý súbor a potom ho naskenuje, môže to trvať pomerne dlho. Z tohto dôvodu je možné, že klient ukončí pripojenie pred prijatím súboru kvôli veľkému oneskoreniu.
Na obrázku nižšie je zobrazená porovnávacia tabuľka pre režimy kontroly – pomôže vám určiť, ktorý typ kontroly je vhodný pre vaše úlohy. Nastavenie a kontrolu funkčnosti antivírusu v praxi rozoberá video na konci článku.
Prejdime k druhej časti lekcie – k systému prevencie narušenia. Aby ste však mohli začať študovať IPS, musíte pochopiť rozdiel medzi exploitmi a anomáliami a tiež pochopiť, aké mechanizmy používa FortiGate na ochranu pred nimi.
Exploits sú známe útoky so špecifickými vzormi, ktoré možno zistiť pomocou IPS, WAF alebo antivírusových podpisov.
Anomálie sú nezvyčajné správanie v sieti, ako napríklad nezvyčajne veľká prevádzka alebo vyššia spotreba procesora.Anomálie je potrebné monitorovať, pretože môžu byť príznakmi nového, nepreskúmaného útoku. Anomálie sa zvyčajne detegujú pomocou behaviorálnej analýzy - takzvaných podpisov založených na frekvencii a politík DoS.
Výsledkom je, že IPS na FortiGate používa podpisové bázy na detekciu známych útokov a podpisy založené na rýchlosti a DoS politiky na detekciu rôznych anomálií.
V predvolenom nastavení je počiatočná sada IPS podpisov súčasťou každej verzie operačného systému FortiGate. S aktualizáciami získava FortiGate nové podpisy. Týmto spôsobom zostáva IPS účinný proti novým exploitom. FortiGuard aktualizuje podpisy IPS pomerne často.
Dôležitým bodom, ktorý platí pre IPS aj antivírus, je, že ak platnosť vašich licencií vypršala, stále môžete používať najnovšie prijaté podpisy. Ale bez licencií nebudete môcť získať nové. Absencia licencií je preto krajne nežiaduca - ak sa objavia nové útoky, nebudete sa môcť chrániť starými podpismi.
Databázy podpisov IPS sa delia na bežné a rozšírené. Typická databáza obsahuje podpisy pre bežné útoky, ktoré zriedka alebo nikdy nespôsobujú falošné poplachy. Vopred nakonfigurovaná akcia pre väčšinu týchto podpisov je blokovanie.
Rozšírená databáza obsahuje ďalšie signatúry útokov, ktoré majú významný vplyv na výkon systému, alebo ktoré nie je možné blokovať z dôvodu ich špeciálnej povahy. Vzhľadom na veľkosť tejto databázy nie je dostupná na modeloch FortiGate s malým diskom alebo RAM. Ale pre vysoko zabezpečené prostredia možno budete musieť použiť rozšírenú základňu.
O nastavení a kontrole funkčnosti IPS hovorí aj video nižšie.
V ďalšej lekcii sa pozrieme na prácu s používateľmi. Aby ste to nezmeškali, sledujte aktualizácie na nasledujúcich kanáloch:
Zdroj: hab.com